首頁 > 通信工程師 > 互聯(lián)網(wǎng)技術(shù) > 互聯(lián)網(wǎng)技術(shù)基于HIP的地址更新機(jī)制

互聯(lián)網(wǎng)技術(shù)基于HIP的地址更新機(jī)制

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯：baiding123 2013-10-17

希賽網(wǎng)公眾號(hào) 點(diǎn)擊領(lǐng)取通信工程師備考資料

摘要：互聯(lián)網(wǎng)技術(shù)基于HIP的地址更新機(jī)制：IKE-H提供了一種可以在主機(jī)（或者安全網(wǎng)關(guān)）具有移動(dòng)性、多家鄉(xiāng)功能情況下維持原有IPSecSA不變來保護(hù)數(shù)據(jù)功能的方法一IKE-H。

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

下面介紹基于HIP的地址更新機(jī)制。
IKE-H提供了一種可以在主機(jī)（或者安全網(wǎng)關(guān)）具有移動(dòng)性、多家鄉(xiāng)功能情況下維持原有IPSecSA不變來保護(hù)數(shù)據(jù)功能的方法一IKE-H。并在原有HIP協(xié)議引入H1主機(jī)標(biāo)識(shí)符解決終端識(shí)別問題的基礎(chǔ)上，設(shè)計(jì)了一種髙效、靈活、可靠的改進(jìn)IKEv2密鑰交換協(xié)議--IKE-H,來滿足Mobike工作組的要求。IKE-H可使通信節(jié)點(diǎn)對(duì)等體在地址改變時(shí)保證交換發(fā)起者和響應(yīng)者之間端到端通信的安全性：為IP數(shù)據(jù)報(bào)提供機(jī)密性、數(shù)據(jù)完整性、接入控制、身份鑒別和數(shù)據(jù)源認(rèn)證，防止出現(xiàn)DoS(拒絕服務(wù)）或者M(jìn)itM(中間人）等攻擊此外，擴(kuò)展原先只有.端到端的HIP通倍，使之可以實(shí)現(xiàn)更多的如同安全網(wǎng)關(guān)保護(hù)的內(nèi)部子網(wǎng)主機(jī)通信等應(yīng)用。IKE-H還支持一個(gè)同時(shí)有多個(gè)正在通信的IPv4/IPv6連接的安全網(wǎng)關(guān)在IPv4和IPv6地址之間切換即支持站點(diǎn)多家鄉(xiāng)，而不用中斷和重新建立高層協(xié)議連接。
IKE-H方法主要是在原有HIP協(xié)議基本框架的基礎(chǔ)上對(duì)HIP協(xié)議的密鑰交換協(xié)議--基本交換作出了必要的改進(jìn)，并為了實(shí)現(xiàn)主機(jī)（包括安全網(wǎng)關(guān)在內(nèi)）的移動(dòng)性和多家鄉(xiāng)功能擴(kuò)展定義了新的通告載荷報(bào)文類型以及HIP一NOTIFY_REA數(shù)據(jù)格式.考慮了不同環(huán)境下的具體使用。由于采用的是基于IKE的密鑰交換協(xié)議，所以可以使適用范圍由終端主機(jī)擴(kuò)展到包括終端主機(jī)在內(nèi)安全網(wǎng)關(guān)等不同的場(chǎng)所。
該方案提議的IKE-H密鑰交換方法可在HIP主機(jī)（或者安全網(wǎng)關(guān)）之間建立一對(duì)IPSec安全聯(lián)盟。這些SA不是綁定到IP地址，而是綁定到用來建立它們的HI(公共密鑰）上當(dāng)然，主機(jī)（或者安全網(wǎng)關(guān)）至少箝要知道它們對(duì)端的一個(gè)可達(dá)的IP地址。最初?這些IP地址就是HIP交換中使用的IP地址既然安全聯(lián)盟不是綁定到IP地址的，主機(jī)就能夠從任何地址接收受（由HIP建立的）ESP安全聯(lián)盟保護(hù)的數(shù)據(jù)鉭。因此，主機(jī)可以改變自己的IP地址并且繼續(xù)向?qū)Χ税l(fā)送數(shù)據(jù)包。
IKEH的交換過程都是由一對(duì)報(bào)文組成：請(qǐng)求和應(yīng)答，這對(duì)報(bào)文稱為一組“交換”在一定的時(shí)間間隔內(nèi)如果沒有收到應(yīng)答，請(qǐng)求方需要重傳請(qǐng)求（或放棄連接)。第一組交換完成IKE_SA_INIT,協(xié)商包括加密算法、Nonces、DH交換在內(nèi)的值。第二組交換完成IKE_AUTH，認(rèn)證前面的消息、交換身份并建立笫一個(gè)IPSec安全聯(lián)盟《接下來的交換是CREATE_IPSEC_SA交換（用來建立以后的IPSec安全聯(lián)盟，它不是一定要進(jìn)行）或者INFORMATIONAL交換（用來刪除SA報(bào)告錯(cuò)誤條件并可以做其他管理如檢查生存期等工作)。
通常情況下,建立IKE安全聯(lián)盟和第一個(gè)IPSec安全聯(lián)盟只需要一次IKE_SA_INIT交換和一次DCE_AUTH交換（一共4條報(bào)文)，我們稱之為初始交換，如圖5-7所示。但在特殊情況中，可能霈要不止一次的這兩種交換。但不論是哪種情況，幾種交換的順序都是：首先是IKE_SAJNIT交換，它結(jié)束之后是IKE_AUTH交換，接下來使用任意數(shù)跫的CREATE_IPSEC_SA和-106-INFORMATIONAL交換，它們的順序可以任意。